Der AI Act stellt einige Anforderungen an Unternehmen, die künstliche Intelligenz nutzen. Haben Sie schon erste Schritte gesetzt? Kümmern Sie sich bereits um die AI Literacy in Ihrem Unternehmen? Sind Sie sicher, dass Sie keine verbotenen KI-Praktiken einsetzen?
Der AI Act der Europäischen Union trat zwar mit 01.08.2024 in Kraft, zahlreiche seiner Bestimmungen, Verbote, Pflichten, Rechte und Zuständigkeiten treten jedoch erst schrittweise in Kraft. Manche Übergangsbestimmungen laufen erst bis Ende 2030 aus.
Unternehmen müssen sich bereits jetzt in einigen Bereichen vorbereiten, um nicht noch auf dem falschen Fuß erwischt zu werden.
Verbote
Der AI Act enthält eine Liste an verbotenen Praktiken, die seit dem 02.02.2025 gelten. Manche davon betreffen die Mitgliedstaaten selbst, viele kommen jedoch auch in Unternehmen zum Einsatz. Wer Systeme zu den darin genannten Zwecken im Unternehmen nutzt, muss sich bis dahin nach Alternativen umschauen, um rechtzeitig ohne diese verbotenen Praktiken auszukommen:
- Unterschwellige Beeinflussun
- Ausnutzung von persönlichen Schwächen zur Beeinflussung von Personen
- Social Scoring
- Predictive Policing
- Echtzeit-Gesichtserkennung mit Überwachungsbildern an öffentlichen Orten zu Zwecken der Strafverfolgung (mit eng eingegrenzten Ausnahmen)
- Erstellung oder Erweiterung von Datenbanken zur Gesichtserkennung durch Data Scraping aus dem Internet oder von Überwachungskameras
- Kategorisierung von Personen nach sensiblen Daten (im Sinne der DSGVO) durch Auswertung biometrischer Marker
- Auswertung von Emotionen am Arbeitsplatz und in Bildungseinrichtungen (dies ist auch nicht in Callcentern erlaubt)
Verboten sind ab Februar das Inverkehrbringen, die Inbetriebnahme und auch die Verwendung von AI-Systemen, die auf diese Zwecke ausgelegt sind. Gleichfalls fällt die Nutzung von Systemen zu diesen Zwecken unter das Verbot, selbst wenn diese ursprünglich für andere Zwecke gedacht waren. Wer also noch AI-Systeme für diese Zwecke nutzt, muss sich dringend Alternativen überlegen.
Die EU-Kommission hat dazu am 04.02.2025 umfangreiche Guidelines veröffentlicht, die auf über 130 Seiten den Umfang der Verbote erläutern. Daran lässt sich auch ablesen, dass die Formulierungen der Verbotsbestimmungen selbst der EU-Kommission zu unklar erschienen. In Zweifelsfällen geben diese Guidelines nun eine Richtung vor.
Strafen für den Einsatz verbotener Systeme oder die Nutzung für verbotene Zwecke werden erst ab 02.08.2025 verhängt, wenn die nächsten relevanten Bestimmungen des AI Act in Kraft treten.
AI Literacy | KI-Kompetenz
Auch wenn es unter einem weniger dramatisch klingenden Titel läuft, trat am 02.02.2025 eine Bestimmung in Kraft, die in vielen Unternehmen Handlungsbedarf eröffnet: Artikel 4 des AI Act enthält die Verpflichtung, bei den eigenen Mitarbeitern ausreichende Kompetenz im Umgang mit künstlicher Intelligenz herzustellen.
Dies betrifft nicht nur die IT-Abteilung und das Management, sondern all jene Mitarbeiter, die im Rahmen ihrer Aufgaben Systeme mit künstlicher Intelligenz nutzen, gleich welcher Organisationseinheit sie zugeteilt sind. Was heißt dies nun?
Damit ist nicht gemeint, dass nur Spezialisten für neuronale Netzwerke und Deep Learning mit AI-Systemen arbeiten dürfen. Jedoch müssen alle Mitarbeiter, die mit solchen Systemen arbeiten, ein Verständnis für die Möglichkeiten und Risiken sowie für ihre unternehmensinternen Verpflichtungen im Umgang mit künstlicher Intelligenz entwickeln. Dies hat angepasst auf die jeweilige Erfahrung, Ausbildung, das verwendete System und den Tätigkeitsbereich sowie insbesondere den von dem AI-System betroffenen Personenkreis stattzufinden.
Dazu gehört vor allem bei Mitarbeitern ohne entsprechenden technischen Hintergrund, die Warnung vor Halluzinationen von ChatGPT und anderen LLMs, ein Verständnis für die allgemeinen Entscheidungsgrundlagen bei Analyse-Systemen, die Gefahren von blindem Vertrauen in das Ergebnis, wenn dieses nur einen Entscheidungsfaktor bieten soll, etc. Auch Überschneidungen mit Themen in den Bereichen DSGVO und Cybersicherheit müssen dabei bedacht werden.
Dazu sind in vielen Fällen Policies und Handlungsanleitungen zu erstellen und häufig auch Schulungen durchzuführen. Auch in diesem Fall gilt: Man muss Systeme kennen, die im eigenen Unternehmen eingesetzt werden.
Diese Verpflichtung ist zwar durch keine eigene Strafbestimmung abgesichert, jedoch können bei Missachtung höhere Strafen aus anderen, damit zusammenhängenden Verstößen folgen. Darüber hinaus eröffnet die Missachtung dieser Verpflichtung ein Haftungsrisiko gegenüber Kunden, Lieferanten und den eigenen Mitarbeitern. Zudem empfehlen wir eine ernsthafte Umsetzung entsprechender Maßnahmen schon aus der Motivation heraus, dass dadurch Fehler bei der Verwendung von Systemen und somit auch die daraus resultierenden Schäden deutlich verringert werden können.
Was Sie als geeignete Maßnahmen einführen können, hängt hochgradig von Ihrem Unternehmen, den verwendeten Systemen und den Mitarbeitern ab. Um die Verpflichtung einzuhalten, empfehlen wir dazu, allerspätestens jetzt mit der Vorbereitung und vielleicht schon mit den ersten Schulungsmaßnahmen zu beginnen. Wir können Ihnen dabei die notwendige rechtliche Unterstützung liefern.
Nächste Meilensteine des AI Act
Im Zuge des schrittweisen Inkrafttretens der Bestimmungen des AI Act sind für Unternehmen die folgenden Daten relevant:
02.05.2025: Spätestens an diesem Datum ist vorgesehen, dass Praxisleitfäden zur Anwendung des AI Act veröffentlicht werden. Deren Zweck ist es, Unternehmen Leitlinien in die Hand zu geben, an denen sie sich bei Erfüllung ihrer Verpflichtungen und der Umsetzung von dafür notwendigen Maßnahmen orientieren können.
02.08.2025: Der bedeutendste Teil der noch 2025 in Kraft tretenden Bestimmungen des AI Act, nach den bereits genannten Regelungen zu verbotenen Praktiken und AI Literacy, tritt im August in Kraft. Dies betrifft die Strafbestimmungen, die Regeln zur General-Purpose AI sowie die Zuständigkeit von Behörden. Die Strafbestimmungen zur Absicherung der Verpflichtung zu General-Purpose AI treten jedoch erst ein Jahr später in Kraft.
Bis Ende 2030 werden Schritt für Schritt Verpflichtungen in Kraft treten und Übergangsfristen auslaufen, auf die man vorbereitet sein muss, da künstliche Intelligenz heute in vielen Systemen – oft auch von den Anwendern unbemerkt – nicht mehr wegzudenken ist. Als wichtigste Grundlage aller Maßnahmen gilt jedoch eine umfassende Bestandsaufnahme aller im Einsatz befindlichen Systeme.
Autor: Manuel Boka, Partner | Eversheds Sutherland (Austria)
